Metadata Mapping Exercise (Session 4, Slide 15)

Cuando se produce un Error Criptográfico, EDItran da una información local del error producido y envía al remoto una petición de liberación con el Motivo del error, liberando posteriormente la conexión.

En el extremo donde se produce el error se informa del Código de Retorno devuelto por el producto que proporciona los servicios criptográficos (CRIPTOlib/DES 3.0, BDKDES, PCF, CUSP, TSS, ICSF, ...), por lo que, de producirse, habría que consultar las referencias

EDItran/P 4.1. MVS CICS. Manual de Usuario. 9. Anexo D. Sistema de Criptografía en EDItran.

que del return-code y/o Reason-Code se dan en el correspondiente manual de cada producto, como:

- CRIPTOlib/DES : "Criptolib/DES 3.0 versión MVS. Sistema de Seguridad DES. Manual de Usuario e Instalación"

- CUSP/3848 : "Cryptographic Unit Support: Installation Reference Manual"

- TSS/4753 : "Transaction Security System. Programming Guide and Reference"

- ICSF/ICRF : "Integrated Cryptographic Service Facility/MVS. Aplication Programmer's Guide".

Los Motivos EDItran de los Errores Criptográficos que pueden ocurrir son: (ERR1):

El extremo que solicita una Petición de Conexión no ha podido hacer el Recifrado de las Claves de su fichero (si no hay Interfaz claves externas) o bien, error al obtener el Label en el extremo que inicia la sesión.

Si AUTENTICACION es PKI : significa que ha EDItran/CD comunica un error en la función firmar texto.

(ERR2):

El extremo que solicita autentificar su clave TKE o su Clave de Intercambio externa (con Interfaz) no ha podido cifrar el Código de Autenticación, aunque sí hizo el Recifrado.

Si AUTENTICACION es DES : Probable error en clave local.

Si AUTENTICACION es RSA : Si el error se produce en la firma, el problema puede ser en la clave local (Privada).

Si el error es en la incertidumbre, el problema puede ser en la clave remota (pública).

Si AUTENTICACION es PKI : Significa que ha EDItran/CD comunica un error en la función verificar firma texto.

(ERR3):

El extremo que solicita una Petición de Conexión con Cambio de Clave no ha podido generar una clave de emisión.

Si AUTENTICACION es PKI : significa que ha EDItran/CD comunica un error en la función cifrar texto.

(ERR4):

El extremo que recibe la Indicación de Notificación del Remoto tuvo un error al hacer Recifrado de la clave TKR de su fichero, o en la obtención del Label de la clave auxiliar.

Si AUTENTICACION es PKI : significa que ha EDItran/CD comunica un error en la función descifrar texto.

(ERR5):

El extremo que recibe la Indicación de Notificación no ha podido descifrar el Código de Autenticación que le envía el Remoto, aunque si hizo el Recifrado.

Si AUTENTICACION es DES : Probable error en clave remota.

Si AUTENTICACION es RSA : Si el error se produce en la firma, el problema puede ser en la clave remota(Pública).

Si el error es en la incertidumbre, el problema puede ser en la clave local (privada).

Si AUTENTICACION es PKI : Significa que ha EDItran/CD comunica un error en la función certificado firmante.

EDItran/P 4.1. MVS CICS. Manual de Usuario. 9. Anexo D. Sistema de Criptografía en EDItran.

(ERR6):

El extremo que recibe una Indicación de Notificación con Cambio de Clave, tuvo un error al hacer el Recifrado de la nueva clave de Recepción que viene del remoto (TKR-nueva).

Si AUTENTICACION es PKI : significa que se ha producido un error de validación de la incertidumbre.

(ERR7):

El extremo que va a enviar un dato de usuario o Mensaje de Operador, ha tenido un error en el cifrado "on-line".

Si AUTENTICACION es PKI y es un proceso de conexión: significa que el DN calculado por EDItran/CD no coincide con el DN de perfiles.

(ERR8):

El extremo que recibe un dato de usuario o Mensaje de Operador del Remoto ha tenido un error en el descifrado "on-line".

Si AUTENTICACION es PKI : significa que se ha producido un error de criptografía. (ERR9):

• Si en versión CRIPTOGRAFICA tiene 2.2, un (ERR9) significa que el extremo que recibe una Notificación del Remoto (con o sin Cambio de Clave) ha descifrado el Código de Autenticación, pero es incorrecto (a pesar de guardar la clave antigua de recepción). Posiblemente algún extremo dio de Baja y Alta la Sesión EDItran de Perfiles. Es el error más grave. Sólo se sale de esta situación dando de Baja y Alta la Sesión en Perfiles en ambos extremos.

• Si en versión CRIPTOGRAFICA tiene 3.0, un (ERR9) significa que las claves de Intercambio externas utilizadas en el proceso de autenticación no coinciden en ambos extremos. Aún así, el mensaje EDItran que describe este error vendrá acompañado de otro que informa en cada extremo del "Label" de la clave de intercambio utilizada (8 últimos octetos diferentes de "blancos", de los 64 octetos de la etiqueta que identifica a una clave). De esta forma, ambos extremos pueden verificar que la Interfaz de claves externas identifica de forma correcta a la clave de intercambio externa que realmente se pretende utilizar.

• Si tiene AUTENTICACION PKI, un (ERR9) significa un error de programa, tiempo transcurrido en servidor EDItran/CD, errores TCP/IP en la conexión con el servidor EDItran/CD, error en los datos devueltos por servidor EDItran/CD, errores CICS, etc.

| ERR01 - EL EXTREMO LLAMANTE NO HA PODIDO HACER RECIFRADO DE CLAVES (SI NO | | HAY INTERFAZ DE CLAVES EXTERNAS) (CIFRADO V2.2). | | - ERROR AL OBTENER EL LABEL (CLAVE LOCAL) EN EL EXTREMO QUE INICIA | | LA SESION (CIFRADO V3.0) | | - EN PKI, SIGNIFICA QUE EDItran/CD COMUNICA ERROR AL FIRMAR TEXTO | | CON EL CERTIFICADO LOCAL. | | ERR02 - EL EXTREMO QUE SOLICITA AUTENTICAR SU TKE O SU CLAVE EXTERNA (SI | | HAY INTERFAZ), NO PUDO CIFRAR CGO AUTENTICACION (CIFRADO V2.2). | | - ERROR AL GENERAR LA INCERTIDUMBRE O LA FIRMA (CIFRADO V.30). | | - SI AUTENT. DES, PROBABLE ERROR EN CLAVE LOCAL | | - SI AUTENT. RSA, SI EL ERROR SE PRODUCE EN LA FIRMA, CLAVE LOCAL | | ERRONEA. | | - SI AUTENT. RSA, SI EL ERROR SE PRODUCE EN LA INCERTIDUMBRE, | | CLAVE REMOTA ERRONEA. | | - EN PKI, SIGNIFICA QUE EDItran/CD COMUNICA UN ERROR AL VERIFICAR | | LA FIRMA. |

| ERR03 - EL EXTREMO QUE SOLICITA ASOCIACION CON CAMBIO DECLAVE, NO PUDO |

| GENERAR CLAVE DE EMISION TKE NUEVA (CIFRADO V2.2). |

| - ERROR AL INTENTAR GENERAR CLAVE DE SESION (CIFRADO V3.0). |

| - SI AUTENTICACION ES DES, ERROR EN LA CLAVE LOCAL. |

| - SI AUTENTICACION ES RSA, ERROR EN LA CLAVE REMOTA. |

| - EN PKI, SIGNIFICA QUE EDItran/CD COMUNICA ERROR AL CIFRAR TEXTO | | CON CERTIFICADO REMOTO. |

| ERR04 - EL EXTREMO QUE RECIBE SAP (INDICACION DE ASOCIACION), TUVO ERROR | | AL RECIFRAR CLAVE TKR DE SU FICHERO (CIFRADO V2.2). |

| - ERROR AL OBTENER CLAVE REMOTA (CIFRADO V3.0). |

| - EN PKI, SIGNIFICA QUE EDItran/CD COMUNICA ERROR AL DESCIFRAR |

| TEXTO CON CERTIFICADO LOCAL. |

| ERR05 - EL EXTREMO QUE RECIBE SAP (INDICACION DE ASOCIACION), NO PUDO |

| DESCIFRAR CODIGO DE AUTENTICACION DEL REMOTO (CIFRADO V2.2). |

| - ERROR AL INTENTAR DESCIFRAR LA INCERTIDUMBRE O FIRMA (CIFR. V3.0) | | - SI AUTENT. DES, PROBABLE ERROR EN CLAVE REMOTA |

| - SI AUTENT. RSA, SI EL ERROR SE PRODUCE EN LA FIRMA PUEDE SER UN | | PROBLEMA EN LA CLAVE REMOTA (PUBLICA). |

| - SI AUTENT. RSA, SI EL ERROR SE PRODUCE EN LA INCERTIDUMBRE, ES | | UN PROBLEMA EN LA CLAVE LOCAL (PRIVADA). |

| - EN PKI, SIGNIFICA QUE EDItran/CD COMUNICA ERROR AL EXTRAER EL |

| CERTIFICADO DE LA FIRMA RECIBIDA DEL REMOTO. |

| ERR06 - EL EXTREMO QUE RECIBE SAP (INDICACION DE ASOCIACION) CON CAMBIO | | DE CLAVE, TUVO ERROR AL RECIFRAR LA CLAVE DE RECEPCION DEL REMOTO | | (TKR NUEVA) (CIFRADO V2.2). |

| - ERROR AL DESCIFRAR LA CLAVE DE SESION (CIFRADO V3.0). |

| - SI AUTENTICACION ES DES, ERROR EN LA CLAVE REMOTA. |

| - SI AUTENTICACION ES RSA, ERROR EN LA CLAVE LOCAL. |

| - EN PKI, SIGNIFICA ERROR EN LA VALIDACION DE LA INCERTIDUMBRE |

| (ERROR EN CLAVE SESION RECIBIDA, AL DESCIFRARSE CON CERTIF.LOCAL) | | ERR07 - ERROR AL CIFRAR DATO (SESION ESTABLECIDA). |

| - EN PKI, CUANDO DN CALCULADO NO COINCIDE CON PERFIL (EN CONEXION). | | ERR08 - ERROR AL DESCIFRAR DATO (SESION ESTABLECIDA). |

| - EN PKI, ERROR EN EL ACCESO A MODULOS DE CRIPTOGRAFIA. |

| ERR09 - EL EXTREMO QUE RECIBE ASOCIACION, HA DESCIFRADO CGO.AUTENTICACION | | PERO ES INCORRECTO. LAS CLAVES SE HAN PERDIDO. DEBE DAR DE ALTA Y | | BAJA LA SESION EN AMBOS EXTREMOS (CIFRADO V2.2). |

| - LA INCERTIDUMBRE O LA FIRMA DESCIFRADAS, NO COINCIDEN. LAS CLAVES | | EMPLEADAS SON DISTINTAS EN AMBOS EXTREMOS (CIFRADO V3.0). |

| - SI AUTENTICACION DES, ERROR EN LA CLAVE LOCAL. |

| - SI AUTENTICACION RSA Y NO COINCIDE INCERTIDUMBRE, ERROR EN LA | | CLAVE LOCAL. |

| - SI AUTENTICACION RSA Y NO COINCIDE FIRMA, ERROR EN CLAVE REMOTA | | - EN PKI, SE HA PRODUCIDO UN ERROR EN EL PROGRAMA DE CONEXION AL |

| SERVIDOR, O BIEN EDItran/CD COMUNICA UN ERROR (TIEMPO, MONITOR TP | | CONECTIVIDAD, DATOS, ETC). VERIFIQUE EL LOG DE EDItran/P PARA |

EDItran/P 4.1. MVS CICS. Manual de Usuario. 10. Anexo E. Ficheros tampones.